Github, sslv3 हैंडशेक त्रुटि से नहीं जा सकते


10

हमारे पास एक स्क्रिप्ट है जो गिट सुरक्षा से आधुनिक सुरक्षा को डाउनलोड करती है जो हाल ही में विफल रही है। सर्वर CentOS 6 चलाते हैं लेकिन RHEL 6 में संभवतः एक ही मुद्दा है। आउटपुट है:

# wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
--2014-07-22 18:49:46--  https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving github.com... 192.30.252.129
Connecting to github.com|192.30.252.129|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz [following]
--2014-07-22 18:49:47--  https://cloud.github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz
Resolving cloud.github.com... 54.230.99.219, 205.251.219.190, 54.230.97.212, ...
Connecting to cloud.github.com|54.230.99.219|:443... connected.
OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Unable to establish SSL connection.

इसे कैसे ठीक करें या काम करें, इस पर कोई विचार?


2
एक अन्य अनुप्रयोग का उपयोग करें, उदाहरण के लिएcurl
राबिन

2
अधिक विशिष्ट होने के लिए, दोनों 54.230.99.219 और कई (अलग-अलग) ए के मैं क्लाउड के लिए प्राप्त करते हैं। Github.com ServerNameIndication के लिए विकल्प के बिना s_client को हैंडशेक विफलता देता है। serverfault.com/questions/560053/… (कई महीने पहले) RedHat wget SNI नहीं करता है लेकिन कर्ल करता है।
dave_thompson_085


ठीक है, ईमानदार होने के लिए मैं पसंद करूंगा अगर @ dave_thompson_085 या राबिन ने अपनी टिप्पणियों को उत्तर के रूप में पोस्ट किया, जैसा कि मैं देखता हूं कि एक दीर्घकालिक समाधान के रूप में भले ही आपका वर्कअराउंड भी बहुत अच्छा हो!
क्रिस्टोफर

जवाबों:


2

अगर मैं गलत नहीं हूँ आप इस रेपो मतलब है । URL फ़ॉर्म रिलीज़ करने का प्रयास करें ।

यह मामला मेरे लिए काम करता है:

$ wget https://github.com/SpiderLabs/ModSecurity/archive/v2.8.0.tar.gz

पुनश्च मैं भी एक ही त्रुटि संदेश है जब अपने मामले को चलाने की कोशिश;

$ wget https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

हम्म, इस URL में md5 नहीं है :(
क्रिस्टोफर

raw.githubusercontent.com/$ {USER} / $ {रेपो} /path/to/file.tar.gz
Maksim Kostromin

10

आप curlइसे डाउनलोड करने के लिए कमांड का उपयोग कर सकते हैं :

curl -LO https://github.com/downloads/SpiderLabs/ModSecurity/modsecurity-apache_2.7.1.tar.gz

5
curl -L -Oके लिए एक बेहतर प्रतिस्थापन है wget, क्योंकि यह HTTP रीडायरेक्ट का अनुसरण करता है (विशेष रूप से यहां उपयोगी है क्योंकि गितुब मुझे अपने सीडीएन को इंगित करना चाहता है)।
विचित्रवीर्य

इसके अलावा, एक चीज जो मैंने CentOS 6.5 में संस्करणों के साथ चलाई है वह यह है कि curlSNI का समर्थन wgetकरता है और ऐसा नहीं करता है, इसलिए कुछ साइटों के wgetलिए कभी-कभी गलत होस्ट के लिए प्रमाण पत्र दिया जाएगा और curlठीक काम करने पर भी प्रमाणपत्र विफलता मिल सकती है।
rakslice

7

SSLv3 गंभीर सुरक्षा समस्याओं के कारण सर्वर पक्ष ने SSLv3 एन्क्रिप्शन हैंडशेक को अक्षम कर दिया है। इसके अलावा, आपका wget क्लाइंट पुराना संस्करण है और अभी भी डिफ़ॉल्ट रूप से इस SSLv3 एन्क्रिप्शन का उपयोग करता है। आपके पास 2 विकल्प हैं:

  • उपयोग - सुरक्षा-प्रोटोकॉल = wget के सामने TLSv1 ध्वज। wget --secure-protocol=TLSv1
  • डिफ़ॉल्ट TLSv1 प्रोटोकॉल के रूप में उपयोग करने वाले wget का अद्यतन संस्करण स्थापित करें

5

आपको अपने wget संस्करण की जांच करनी चाहिए।

wget(<1.15) के पुराने संस्करणों के साथ मुझे भी यही समस्या थी ।


2
ऐसा लगता है कि इस सवाल के खिलाफ एक टिप्पणी होनी चाहिए, न कि एक जवाब।
डैनी स्टैपल

0

वर्कअराउंड के लिए, यदि आपको विश्वास है कि होस्ट निर्दिष्ट --no-check-certificateया जोड़ने का प्रयास करेगा :

check_certificate = off

आपके ~/.wgetrc(अनुशंसित नहीं) में।

कुछ दुर्लभ मामलों में, यह आपके सिस्टम के समय के कारण होता है जो कि पहले से काम कर रहे प्रमाणपत्रों को अमान्य कर आउट-ऑफ-सिंक हो सकता है।


-1

इसे इस्तेमाल करे:

update-crypto-policies --set LEGACY

3
साइट पर आपका स्वागत है, और आपके योगदान के लिए धन्यवाद। क्या आप कुछ स्पष्टीकरण शामिल करने के लिए अपनी पोस्ट को संपादित करने का मन बनाएंगे, अर्थात विशेष रूप से ओपी द्वारा बताए गए लक्षणों में से कौन सा आपको निष्कर्ष निकालना है कि क्रिप्टो नीतियां मुद्दा हैं, और उन्हें इस तरह से बदलने से उन्हें हल क्यों किया जा सकता है? इस विचार का उत्तर स्व-निहित के रूप में संभव के रूप में है ताकि वे न केवल ओपी के लिए उपयोगी हों, बल्कि अन्य भी इसी तरह की समस्याओं का सामना कर रहे हैं।
एडमिनबी

1
यदि यह आरएचईएल 8 द्वारा पेश किया गया उपकरण है, तो आपको यह कहना चाहिए, और यह भी महसूस करना चाहिए कि यह प्रश्न आरएचईएल 6 के बारे में है।
जेफ स्कालर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.